Mandiant(Google Cloud)は1月30日(米国時間)、「Evolution of UNC4990: Uncovering USB Malware's Hidden Depths|Mandiant」において、「UNC4990」として追跡される脅威アクターの戦術に関する分析結果を公開した。UNC4990はUSBドライブを介した方法でマルウェアローダーを配布する攻撃手法で知られており、2020年ごろからこの活動が確認されている。目的は金銭窃取とされ、主にイタリアの企業や組織を標的にしているとみられている。

  • Evolution of UNC4990: Uncovering USB Malware's Hidden Depths|Mandiant

    Evolution of UNC4990: Uncovering USB Malware's Hidden Depths|Mandiant

感染経路

UNC4990は初期感染にUSBドライブに保存されたLNKファイルを使用する。このLNKファイルを開こうとすると空白のフォルダ名(U+3164、'ㅤ')に保存されているPowerShellスクリプトが実行され、最終的にマルウェアローダー「EMPTYSPACE(別名:VETTA Loader、BrokerLoader)」がダウンロード、実行される。

従来は無害に見えるテキストファイルからマルウェアローダーを展開する手法が取られていたが、最近は「Ars Technica」「GitHub」「GitLab」「Vimeo」などの人気のWebサービスを悪用することが確認されている。これらWebサービスから配布されている悪意のあるコードは単独では良性とみなされており、誤って取得しても害はないとされる。

  • UNC4990によるマルウェアの感染経路 - 提供:Mandiant

    UNC4990によるマルウェアの感染経路 引用:Mandiant

EMPTYSPACEはUNC4990が管理するコマンド&コントロール(C2: Command and Control)サーバから追加のペイロードをダウンロードして実行する機能を持つ。Mandiantの分析では、バックドア型マルウェア「QUIETBOARD」や「CoinMiner」の使用が確認されている。

マルウェアの詳細と回避策

バックドア型マルウェア「QUIETBOARD」は、Pythonで記述されたプリコンパイル済みバックドアとされる。任意のコマンドの実行、暗号通貨窃取のためのクリップボード操作、USBまたはリムーバブルドライブへの感染拡大、スクリーンショットの撮影、システム情報の収集、追加のPythonモジュールの実行などが可能とされる。また、感染拡大時に古いEMPTYSPACEを更新する機能まで持つという。

MandiantはUNC4990からの攻撃を検出するために、「YARA-L」ルールを複数公開している。YARA-LはGoogle Cloudの「Chronicle Detection Engine」と組み合わせることで動作する検出ルール言語(参考:「Overview of the YARA-L 2.0 language | Chronicle | Google Cloud」)。また、調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。